> Так и оказалось, они не умеют ссл :(

кстати и не обязаны: это ж в ваших интересах принимать почту, обращенную к вашему домену и если отправляющий сервер не поддерживает SSL, то это еще не повод, что бы ему отказывать в приеме писем.

> Может кому надо будет:
> свойство smtp_tls_security есть и в main.cf и в master.cf, в master по
> умолчанию указано encrypt

вот что по этому поводу пишет мануал:

You can ENFORCE the use of TLS, so that the Postfix SMTP server announces STARTTLS and accepts no mail without TLS encryption, by setting "smtpd_tls_security_level = encrypt". According to RFC 2487 this MUST NOT be applied in case of a publicly-referenced Postfix SMTP server. This option is off by default and should only seldom be used.